Jump to content
Froxlor Forum
  • 0

Verwende das froxlor Let's Encrypt Zertifikat für folgende Dienste in 2.2


Meth0d

Question

Ich habe auch vor 2.2 schon das Froxlor vHost LE Zertifikat für Postfix, Dovecot und Proftpd verwendet, halt die Konfiguration manuell angepasst und auf /etc/ssl/froxlor-custom/vhostdomain.de.* verwiesen.

Nun wollte ich das Froxlor überlassen da es ja dieses tolle Feature nun gibt aber irgendwie will er das nicht, ich habe es wie folgt probiert:

Unter "Einstellungen  » SSL-Einstellungen" - "Verwende das froxlor Let's Encrypt Zertifikat für folgende Dienste" zunächst mal proftpd ausgewählt und gespeichert.

Master Cron einmal laufen lassen.

Nun hat er mir eine /etc/proftpd/ban.tab und /etc/proftpd/conf.d/99-froxlor-ratelimit.conf mit angelegt die ich vorher nicht hatte.

Meine /etc/proftpd/tls.conf hat er aber nicht angefasst.

Gut habe ich gedacht früher musste man ja auch öfter "Configs neu schreiben" und habe über System - Konfiguration - Proftpd neu konfigurieren lassen.

Dann schreibt er mir auch die tls.conf neu aber mit den Pfaden zu irgend einem selbst signieren proftpd Zertifikat:

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             TLSv1.2 TLSv1.3
TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key
TLSECCertificateFile                    /etc/ssl/certs/proftpd_ec.crt
TLSECCertificateKeyFile                 /etc/ssl/private/proftpd_ec.key
# TLSCACertificateFile
TLSOptions                              NoSessionReuseRequired
TLSVerifyClient                         off

# Are clients required to use FTP over TLS when talking to this server?
TLSRequired                             on

# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotiations.  Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
#
#TLSRenegotiate                          required off
</IfModule>

 

Was mache ich falsch? Bei postfix und dovecot habe ich mich jetzt nicht getraut, ist schließlich kein Testsystem :)

 

Link to comment
Share on other sites

8 answers to this question

Recommended Posts

  • 0

Ja das ist noch etwas knifflig, die services configs werden nur beim ISSUE des zertifikats angefasst, nicht wenn es schon eins gibt. Einfach für den froxlor-vhost Let's Encrypt deaktivieren, cron laufen lassen damit alles weg ist, dann let's encrypt wieder aktivieren und cron laufen lassen (mind. 2x)

Link to comment
Share on other sites

  • 0

Das war keine gute Idee, er legt mir das Zertifikat nicht wieder an.

Auch nach dem Aktivieren schreibt er mir

 SSLCertificateFile /etc/ssl/froxlor_selfsigned.pem
 SSLCertificateKeyFile /etc/ssl/froxlor_selfsigned.key

in die 10_froxlor_ipandport.conf

Der Cron macht keine Anstalten für meinen Hostname irgendwas in Sachen acme zu starten, egal wie oft ich ihn aufrufe.

Muss ich das hostname Verzeichnis noch manuell aus achme.sh löschen ?

Ich meine auch meine vHost Domain war vorher in der Domains Übersicht, jetzt ist sie da nicht mehr.

Zum Glück hatte ich das Zertifikat und die Konfig vorher noch gesichert ...

 

Link to comment
Share on other sites

  • 0

naja schau doch nach aktivierung mal in die ausgabe von `bin/froxlor-cli froxlor:cron -fd` was er da bzgl issue des zertifikats sagt...ich habe leider keine glaskugel und kenne dein system nicht, bisschen info brauchen wir schon

Link to comment
Share on other sites

  • 0

Garnix. Mein Froxlor Hostname taucht da einfach nicht mehr auf, er updatet ganz brav alle andere Domains:

[information] Updated Let's Encrypt certificate for ****

....

[information] Let's Encrypt certificates have been updated
[information] apache::createIpPort: creating ip/port settings for  212.72.185.190:80
[debug] XXX.YYY.XXX.YYY:80 :: inserted listen-statement
[notice] XXX.YYY.XXX.YYY:80 :: namevirtualhost-statement no longer needed for apache-2.4
[debug] XXX.YYY.XXX.YYY:80 :: inserted vhostcontainer
[information] apache::createIpPort: creating ip/port settings for  XXX.YYY.XXX.YYY:443
[debug] XXX.YYY.XXX.YYY:443 :: inserted listen-statement
[debug] XXX.YYY.XXX.YYY:443 :: inserted vhostcontainer
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...